Darkomet propagés par mass cracks/keygen

Hier un modo d’un site Warez (qui est aussi un helper) m’a refilé un crack qui était à 1 sur VirusTotal, après une tenative d’envoi du crack sur son site Warez.
Le crack s’avère être un dropper pour du Darkomet.

On retrouve ces cracks sous le pseudo vimal15 sur telecharger-tout.com – comme vous pouvez le constater, 15 pages :

Darkomet_cracks

Darkomet_cracks0


Darkomet_cracks2
Darkomet_cracks3

sur zpddl.com c’est le pseudo morcle avec les mêmes cracks :

Darkomet_cracks4
sur total-telechargement.com c’est le pseudo thier06 : Darkomet_cracks5
On les retrouve aussi sur downparadiz.com sous le pseudo vana :

Darkomet_cracks6
mais aussi sur ce site 4telechargement.com mais les pseudoos sont différents, peut-être de la repompe :

Darkomet_cracks7
Tous les cracks mènent à des liens sur depositfiles.com- Exemple ci-dessous où le crack dropper un fichier %APPDATA%/evo.exe Darkomet_cracks_drop
La clef Run est ensuite créée :
Darkomet_cracks_drop2
puis le malware se connecte sur vps-285.shpv.fr sur le port 1604 – il n’y a pas de requêtes DNS, l’IP est hardcodé : Darkomet_cracks_drop3
Darkomet_cracks_drop4
Autre exemple avec un fichier WIN.exe :

Darkomet_cracks_drop5
Les tailles sont différentes selon le crack :

Darkomet_cracks_drop6 Darkomet_cracks_drop7
La détection du fichier hier était à 1/46 sur VirusTotal  – les cracks plus anciens à 11/46.

http://malwaredb.malekal.com/index.php?hash=0ade036ef28b8740ce12ee2b8f62e3f7
http://malwaredb.malekal.com/index.php?hash=a7664341ee280fc9525bb57c1cdfb4e8
http://malwaredb.malekal.com/index.php?hash=6e0a7c2b92cb8a5667d9beeaf18bd5c2
http://malwaredb.malekal.com/index.php?hash=fed18d1c9f8711c55bfa55d70bfab43d

Darkomet_cracks_malwaredb Darkomet_cracks_malwaredb2

Aujourd’hui du plus récent au plus anciens cracks, on obtient :

https://www.virustotal.com/fr/file/9135dc6c5fe71e6e24bca0386009079caf637ace462b0e4f17a6bb58af556476/analysis/1365766149/

SHA256: 9135dc6c5fe71e6e24bca0386009079caf637ace462b0e4f17a6bb58af556476
Nom du fichier : evo.exe
Ratio de détection : 5 / 46
Date d’analyse : 2013-04-12 11:29:09 UTC (il y a 0 minute)

Trojan/Win32.HDC 20130409
Kaspersky UDS:DangerousObject.Multi.Generic 20130409
Kingsoft Win32.Troj.Dapato.cc.(kcloud) 20130408
McAfee Artemis!A7664341EE28 20130410
McAfee-GW-Edition Artemis!A7664341EE28 20130410

~~

https://www.virustotal.com/fr/file/aafdaff036eb3ed0a7709bfdbcf895fd0f74d14afb1b4e964abd4709bdba4a92/analysis/1365766311/

SHA256: aafdaff036eb3ed0a7709bfdbcf895fd0f74d14afb1b4e964abd4709bdba4a92
Nom du fichier : exy.exe
Ratio de détection : 8 / 46
Date d’analyse : 2013-04-12 11:31:51 UTC (il y a 0 minute)

AhnLab-V3 Trojan/Win32.HDC 20130411
AntiVir TR/Dropper.MSIL.Gen8 20130412
DrWeb BackDoor.Comet.152 20130412
ESET-NOD32 MSIL/Agent.OBK 20130412
Kaspersky Trojan-Dropper.Win32.Dapato.cctk 20130412
Kingsoft Win32.Troj.Dapato.cc.(kcloud) 20130408
Malwarebytes Trojan.MSIL 20130412
Microsoft Backdoor:Win32/Fynloski.A 20130412

~~~

https://www.virustotal.com/fr/file/5e14196f7bf429bd382bbe5eb2aa6aa78c92e8bd5f5ab96487a4cb315b562f36/analysis/1365766106/

SHA256: 5e14196f7bf429bd382bbe5eb2aa6aa78c92e8bd5f5ab96487a4cb315b562f36
Nom du fichier : eva.exe
Ratio de détection : 19 / 46
Date d’analyse : 2013-04-12 11:28:26 UTC (il y a 0 minute)

AntiVir TR/Dropper.MSIL.Gen8 20130412
AVG Dropper.Generic8.SDB 20130412
BitDefender Trojan.GenericKDV.938055 20130412
20130412
DrWeb BackDoor.Comet.152 20130412
Emsisoft Trojan.MSIL.Inject (A) 20130412
ESET-NOD32 a variant of MSIL/Injector.BGK 20130412
F-Secure Trojan.GenericKDV.938055 20130412
Fortinet W32/Agent.XLTT!tr 20130412
GData Trojan.GenericKDV.938055 20130412
Ikarus Trojan.Win32.Agent 20130412
Kaspersky Trojan.Win32.Agent.xltt 20130412
Malwarebytes Trojan.MSIL 20130412
McAfee-GW-Edition Artemis!0ADE036EF28B 20130412
Microsoft Backdoor:Win32/Fynloski.A 20130412
Sophos Mal/Generic-S 20130412
Symantec WS.Reputation.1 20130412
TrendMicro-HouseCall TROJ_GEN.RCBH1DC 20130412

~~~

https://www.virustotal.com/fr/file/a8924ef626d53ce1023fe6cedfd43c3956f0cc3902b5ce229658c68ca125f21e/analysis/1365766406/

SHA256: a8924ef626d53ce1023fe6cedfd43c3956f0cc3902b5ce229658c68ca125f21e
Nom du fichier : WIN.exe
Ratio de détection : 16 / 46
Date d’analyse : 2013-04-12 11:33:26 UTC (il y a 0 minute)

AhnLab-V3 Backdoor/Win32.DarkKomet 20130411
AntiVir TR/Dropper.MSIL.Gen8 20130412
AVG Generic32.AWCN 20130412
BitDefender Trojan.GenericKDZ.13379 20130412
Comodo UnclassifiedMalware 20130412
DrWeb Trojan.Hooker.21489 20130412
Emsisoft Trojan.GenericKDZ.13379 (B) 20130412
ESET-NOD32 a variant of MSIL/Injector.BGK 20130412
F-Secure Trojan.GenericKDZ.13379 20130412
Fortinet MSIL/Injector.BGK 20130412
GData Trojan.GenericKDZ.13379 20130412
Ikarus Trojan.SuspectCRC 20130412
Malwarebytes Trojan.MSIL 20130412
MicroWorld-eScan Trojan.GenericKDZ.13379 20130412
nProtect Trojan.GenericKDZ.13379 20130412
TrendMicro-HouseCall TROJ_GEN.R47H1DB 20130412

 

Pensez à changer vos mots de passe WEB (Facebook, Mail, jeux en ligne etc), ils ont été volés.

Plus d’informations sur les Rats : http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

 

EDIT –

Bonne nouvelle, l’abuse de SHPV a fait le nécessaire  – merci à eux :

Darkomet_SHPV

EDIT – 30 Avril 2013

Pas mal le dernier : http://www.telecharger-tout.com/logiciels/outils_systeme/407721-winrar-500-beta-1-x64-x86-100-fonctionnel-key.html

http://malwaredb.malekal.com/index.php?hash=0d71dabe536f5863414c5818b1421611

https://www.virustotal.com/fr/file/9756d9f07686239802da500c1498fdf93fc0e57411757f60f1ee0647aefcc22a/analysis/1367335282/

SHA256: 9756d9f07686239802da500c1498fdf93fc0e57411757f60f1ee0647aefcc22a
Nom du fichier : windobe.exe
Ratio de détection : 1 / 46
Date d’analyse : 2013-04-30 15:21:22 UTC (il y a 0 minute)

RAT_OVH2

 

Un petit mail à l’abuse d’OVH et @ONETSOLUTIONS s’impose !

RAT_OVH

EDIT – down :
Crack_ONETSOLUTIONS

EDIT 13 Juin 2013

Simplement pour signaler un autre compte http://www.telecharger-tout.com/user/lkertous/news/ qui spamme aussi des cracks vérolés.
Ce dennier semble aussi tenter de poster sur www.t411.me mais les threads ont été supprimés.

RAT_Crack_play4_suite5
Le fichier droppé avec sa clef Run :
RAT_Crack_play4 RAT_Crack_play4_suite

DNS sur play4.zapto.org : RAT_Crack_play4_suite2
C’est balo, le compte a été désactivé!
RAT_Crack_play4_suite3
Dommage car on avait un beau FUD : RAT_Crack_play4_suite4

A noter que dans les cracks, on aussi un stealer qui remonte les éléments volés sur un serveur FTP.

EDIT – 20 Juin

Un nouveau utilisateur : http://www.telecharger-tout.com/user/luludecastel/news/

Darkomet_crack2
Toujours les mêmes trucs :

http://malwaredb.malekal.com/index.php?hash=454f1807ddc031f21c286441a8a41730

http://malwaredb.malekal.com/index.php?hash=77d6888cd4acaa1ba69e3322f4f41424

Ci-dessous une IP Free (notifié) :

Malware_RAT_Cracks3
le vps chez shpv était déjà down : Darkomet_crack4
pour jiin.no-ip.info cela a été fait par l’abuse de NO-IP:

Malware_RAT_Cracks2

Celui-ci plus récent et mal détecté vers une IP Tunisienne (notifié aussi) :

Malware_RAT_Cracks4

Comme je l’avais déjà mentionné, certains setup effectue une connexion FTP afin d’uploader un fichier TXT contenant des données volés (mot de passe WEB etc) :
Darkomet_crack3

Comme il n’y avait pas beaucoup de fichiers, je me suis perdu d’en uploader moi même.
Pyros, Je te laisse faire le tri entre les vrais fichiers des faux 🙂

Malware_RAT_Cracks

Je profite du post pour remercier frboard.com dont les modérateurs ont fait du ménage dans les cracks malicieux !

Quand on Dos, on raconte pas sa vie.

Darkomet_crack5 Darkomet_crack6

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 88 times, 1 visits today)

2 thoughts on “Darkomet propagés par mass cracks/keygen

  1. Marrant, j’était tombé dessus aussi, en suivant les posts de « Vana » juste dans ce but.

    Cela dit, on risque de voir le toto rappliquer en utilisant des comptes volés qui existent toujours sur les sites en questions. Esperons que la fermeture de son host le calmera un peu 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *